Я только что попробовал это с Иккингом:
(hiccup.core/html [:h1 "<script>alert('xss');</script>"])
и, к моему удивлению, я получил окно с предупреждением, что Иккинг не экранирует строки по умолчанию. Я вижу, что есть метод экранирования строк, но, на мой взгляд, если он не используется по умолчанию, рано или поздно вы забудете и будете уязвимы для XSS.
Есть ли в Hiccup способ экранировать строки по умолчанию?